whistler@mbr - rootkit

[vyosek]

Ulozte mbr primo na disk c:\ aby nebyl v zadne slozce

Otevrete si poznamkovy blok

• Start->spustit->notepad
• Vlozte text nize

• Kód: Vybrat vše

  @echo off
  cd c:\
  mbr.exe -t -s

• Soubor ulozte jako del.bat
• Pri ukladani dejte ulozit jako typ Vsechny soubory (nastevni je uvedeno na obrazku nize)
• 
• Zavrit notepad a spustit dvojklikem del.bat
• Okno jen problikne a provede prikazy

Na disku c:\ se Vam vytvori log s nazvem mbr.txt, jeho obsah mi sem vlozte

[pavka153]

MBR LOG :

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: SAMSUNG_SP1203N rev.TL100-24 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-12

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys viaide.sys PCIIDEX.SYS
1 nt!IofCallDriver[0x804E13B9] -> \Device\Harddisk0\DR0[0x83F73AB8]
3 CLASSPNP[0xF7803FD7] -> nt!IofCallDriver[0x804E13B9] -> \Device\00000089[0x83F8EBD0]
5 ACPI[0xF775A620] -> nt!IofCallDriver[0x804E13B9] -> \Device\Ide\IdeDeviceP2T0L0-12[0x83FCD820]
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; STI ; PUSH AX; POP ES; PUSH AX; POP DS; CLD ; MOV SI, 0x7c1b; MOV DI, 0x61b; PUSH AX; PUSH DI; MOV CX, 0x1e5; REP MOVSB ; RETF ; MOV BP, 0x7be; MOV CL, 0x4; CMP [BP+0x0], CH; JL 0x2e; JNZ 0x3a; }
user & kernel MBR OK

[vyosek]

mbr mame v poradku, pokracujte gmerem (viz muj podpis)

[pavka153]

první log z Gmeru

GMER 1.0.15.15640 - http://www.gmer.net
Rootkit quick scan 2011-06-20 15:56:18
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-12 SAMSUNG_SP1203N rev.TL100-24
Running: gmer.exe; Driver: C:\DOCUME~1\PAVEL-~1\LOCALS~1\Temp\uxrcqpoc.sys


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwEnumerateKey [0xA8240BF2]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwEnumerateValueKey [0xA8240A5D]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObInsertObject
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObMakeTemporaryObject

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/AVAST Software)

AttachedDevice \FileSystem\Ntfs \Ntfs tdrpm174.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\Ip SbFw.sys (Sunbelt Personal Firewall driver/Sunbelt Software, Inc.)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\Tcp SbFw.sys (Sunbelt Personal Firewall driver/Sunbelt Software, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\Udp SbFw.sys (Sunbelt Personal Firewall driver/Sunbelt Software, Inc.)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\RawIp SbFw.sys (Sunbelt Personal Firewall driver/Sunbelt Software, Inc.)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)

---- EOF - GMER 1.0.15 ----

[vyosek]

Pockam na druhy a uvidime

Mate ono zminovane CD od windows

[pavka153]

Posílám druhý log v příloze, CD mám.

Gmer 2.rar

(13.21 KiB) Staženo 38 x

[vyosek]

Log je cisty, ale nelibi si mi ty soubory co neprosli kontrolou digitalniho podpisu, takze je nahradime

Postupujte dle navodu kolegy

vlozte instalacni cd do CD rom, nechte nabootovat (predtim ovsem v biosu nastavte first booting device CD rom), chvili vyckejte; pote se zobrazi prvni obrazovka, kde klavesou Enter potvrdte spusteni instalace Windows, v dalsi obrazovce klavesou F8 potvrdte licencni ujednani, v dalsi obrazovce pak klavesou R zvolte Opravit stavajici instalaci Windows

podrobny postup zde

[pavka153]

Udělal jsem někde chybu, nechal jsem znovu nainstalovat Windovs XP. Je to možné nějak vrátit zpět?

[vyosek]

No to uz ne, pokud jste naformatovala disk a udelala novou instalaci, nezbyva nez bohuzel nainstalovat znovu programy

[pavka153]

Nyní mám obrazovku s textem:
Vyberte operační systém, který chcete spustit:

Microsoft XP Home Edition
Microsoft XP Recovery Console
Microsoft XP Home Edition

Nebyl by tam nainstalován Windows 2x _

[vyosek]

No tak to mate stesti

Najdete soubor c:\boot.ini, otevrete jej v poznamkovem bloku a vlozte mi jej sem. Kdyz spustite ten prvni, tak jsou to ty vase nebo ty nove

[pavka153]

Na první řádce jsou ty nové. Ten soubor mám hledat na těchto, nebo na těch starých?

[vyosek]

Najdete je v obou a uploadnete mi je sem http://vyosek.ic.cz/havet/uploader.php jako stary a novy

[pavka153]

Tz první jsou ty nové, soubor s názvem co píšete na C není, je tu s názvem aaw7boot. nemohl by to být on?

[cernohous13]

Zdravím,

Povol zobrazení skrytých souborů. Postupuj následujícím způsobem:

1. Klikni na tlačítko Start a potom na příkaz Tento počítač.
2. V nabídce Nástroje klikni na příkaz Možnosti složky.
3. Na kartě Zobrazení zruš zaškrtnutí políčka Skrýt chráněné soubory operačního systému (doporučeno) a po zobrazení zprávy s upozorněním, že jsi se rozhodl zobrazovat chráněné soubory operačního systému, klikni na tlačítko Ano.
4. Ve složce Skryté soubory a složky zaškrtni políčko Zobrazovat skryté soubory a složky.
5. Zruš zaškrtnutí políčka Skrýt příponu souborů známých typů.
6. V nabídce příkazu Možnosti složky klikni na tlačítko Použít pro všechny složky a pak na tlačítko OK.